Alex'89
27.08.2015, 11:36
Добрый день!
В последнее время в сети предприятия появляется довольно много троянцев, изменяющих скрипт автоконфигурирования прокси.
Особенно достали сайты santanyr.com, eltrasta.com, ertaco.com, neyaho.com. Сканируем зараженный ПК антивирусными утилитами (LiveCD), убираем вручную скрипт автоконфигурации прокси из браузера - но через некоторое время проблема возникает опять.
В общем, что-то вроде этого (http://virusinfo.info/showthread.php?t=163544) или этого (http://virusinfo.info/showthread.php?t=185344).
Не могу понять, в чем дело: то ли на ПК остается какой-то активный исполняемый файл, который это делает, то ли настройки, которые восстанавливаются, то ли задача в планировщике, то ли пользователь сам снова файл запускает - но зачем?
Нет ли у кого-нибудь образцов такой дряни, чтобы на виртуалке поковырять и посмотреть, куда оно ломится?
Спасибо.
В последнее время в сети предприятия появляется довольно много троянцев, изменяющих скрипт автоконфигурирования прокси.
Особенно достали сайты santanyr.com, eltrasta.com, ertaco.com, neyaho.com. Сканируем зараженный ПК антивирусными утилитами (LiveCD), убираем вручную скрипт автоконфигурации прокси из браузера - но через некоторое время проблема возникает опять.
В общем, что-то вроде этого (http://virusinfo.info/showthread.php?t=163544) или этого (http://virusinfo.info/showthread.php?t=185344).
Не могу понять, в чем дело: то ли на ПК остается какой-то активный исполняемый файл, который это делает, то ли настройки, которые восстанавливаются, то ли задача в планировщике, то ли пользователь сам снова файл запускает - но зачем?
Нет ли у кого-нибудь образцов такой дряни, чтобы на виртуалке поковырять и посмотреть, куда оно ломится?
Спасибо.